[发明专利]一种业务逻辑攻击检测模型的构建方法和计算设备

权利要求书

1.一种业务逻辑攻击检测模型的构建方法，适于在计算设备中执行，该方法包括：

分别采集正常业务访问流量和发生业务逻辑攻击时的攻击业务访问流量；

分别从所述正常业务访问流量和攻击业务访问流量中提取同一IP在不同预定时段内的URL请求序列，并分别计算各IP在各预定时段内的多个请求特征值；

分别将正常业务访问中每个IP在每个预定时段内的多个请求特征值构造为一条正常业务特征向量，以及将攻击业务访问中每个IP在每个预定时段内的多个请求特征值构造为一条攻击业务特征向量；以及

采用预定分类器算法对所述正常业务特征向量和攻击业务特征向量进行分类训练，得到所述业务逻辑攻击检测模型。

2.如权利要求1所述的方法，其中，还包括步骤：

获取实际业务访问流量，并将该实际业务访问流量构造为多条实际业务特征向量；

将所述多条实际业务特征向量输入到所述业务逻辑攻击检测模型中，得到所述多条实际业务特征向量中属于攻击业务的特征向量；以及

根据所得到的属于攻击业务的特征向量，确定对应的攻击者IP和攻击请求的原始数据。

3.如权利要求1所述的方法，其中，同一IP在不同预定时段内的URL请求序列是指在各预定时段内具有相同的源IP、目标IP和用户代理的请求组合。

4.如权利要求1所述的方法，其中，所述多个请求特征值包括以下特征值中的一种或多种：

请求时间分值、IP分值、用户代理分值、请求方法分值、URL类别分值、序列特征分值。

5.如权利要求4所述的方法，其中，某个IP在某预定时段内的URL请求序列的序列特征分值是该URL请求序列中所有请求的序列特征分值之和，所述序列特征分值适于根据以下方法进行计算：

分别录制单个业务的完整请求序列；

对于所统计出的某个IP在某预定时段内的URL请求序列，

若其中某个请求不在任何单个业务的完整请求序列中，则将该请求标记为零散请求；

若其中某个或某些请求存在于某单个业务的完整请求序列中，但不能构成该单个业务的完整请求序列，则将该请求或该些请求标记为危险请求；

若其中某个或某些请求存在于某单个业务的完整请求序列中，且能构成该单个业务的完整请求序列，则将该请求或该些请求标记为正常业务请求；

其中，每个零散请求、危险请求和正常业务请求的序列特征分值分别为第一至第三数值。

6.如权利要求5所述的方法，其中，所述请求时间分值在工作时段、晚上时段、深夜时段和其他时段内的取值范围分别为第一至第四取值范围，且请求时间分值在各取值范围内均采用预定分布规则进行取值。

7.如权利要求6所述的方法，其中，

当请求IP为正常业务IP时，其IP分值的取值范围为第五取值范围；

当请求IP为威胁情报IP时，其IP分值的分值为第四数值；

当请求IP是其他类型的IP时，其IP分值的取值范围为第六取值范围。

8.如权利要求7所述的方法，其中，用户代理UA包括浏览器UA、蜘蛛UA、脚本UA，其对应的用户代理分值分别为第五至第七数值。

9.如权利要求4所述的方法，其中，

对于GET和POST类型的请求，其请求方法分值为第三数值；

对于其他类型的请求，其请求方法分值为第一数值。

10.如权利要求4-9中任一项所述的方法，其中，

对于存在于威胁情报列表中的危险URL，其URL类别分值为第六数值；

对于网站中的真实URL，其URL类别分值为第三数值；

对于不存在的URL，其URL类别分值为第一数值。